FFFTPに加えEmFTP、FileZilla、WinSCP等もすでに標的化〜 JPCERT/CC、具体ソフト名でGumblar注意喚起

エンタープライズその他

注目記事

2010.2.3（水）15:14

FFFTPの作者サイトでは、Gumblarに対する独自の注意喚起文章を掲載している全 2 枚

　JPCERTコーディネーションセンター（JPCERT/CC）は3日、「FTPアカウント情報を盗むマルウェアに関する注意喚起」を発行した。

　昨年より、FTPアカウントの盗用に端を発して、Webサイトが改ざんされ、意図しないJavaScriptを埋め込まれる事象や、改ざんされたサイトを閲覧したユーザーのコンピュータがマルウェア（いわゆるGumblarウイルスなど）に感染する事象が多数発生している。

JPCERT/CCでは、この攻撃に使用されているマルウェアを解析した結果、これまでに判明していた通信の盗聴機能に加え、コンピュータ内に保存されているアカウント情報を窃取する挙動を確認したとのこと。アカウント窃取の対象となるソフトウェアは、複数の製品にのぼっており、JPCERT/CCでは、具体的なFTPクライアント名をあげている。数日前より話題となっていた「FFFTP」に加え、有償・無償を問わず、多岐に亘るソフトが、すでに搾取対象として明確に個別ターゲットとされていたことが判明した形だ。

■マルウェアによるアカウント窃取、外部サーバへのアカウント情報の送信が確認されたソフト
・ALFTP 5.2 beta1
・BulletPloof FTP Client 2009.72.0.64
・EmFTP 2.02.2
・FFFTP 1.96d
・FileZilla 3.3.1
・FlashFXP 3.6
・Frigate 3.36
・FTP Commander 8
・FTP Navigator 7.77
・FTP Now 2.6.93
・FTP Rush 1.1b
・SmartFTP 4.0.1072.0
・Total Commander 7.50a
・UltraFXP 1.07
・WinSCP 4.2.5

　また「Internet Explorer 6」および「Opera 10.10」では、Webブラウザのアカウント管理機能を用いて保存されている情報をマルウェアが窃取し、外部サーバに送信していることも確認されたという。

　Gumblarはすでに多数の亜種が発生しており、今後マルウェアが変化し、アカウント窃取の対象となるソフトウェアが変化・増大する可能性もある。今回のリストに、自分が利用するソフトの名称やバージョンがなかったからといって安心できるものではないため、システム環境を常に最新に保つなど、今後もより一層の注意が必要だろう。

《冨岡晶》